СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. №П-6917/2015
гр. София, 16.10.2105г.
ОТНОСНО: Препратено по компетентност от Комисията за регулиране на съобщенията искане от „С.“ ООД за анализиране на разпоредби на Закона за електронните съобщения.
Комисията за защита на личните данни (КЗЛД) в състав: председател: Венцислав Караджов и членове: Цанко Цолов, Цветелин Софрониев и Мария Матева, на заседание, проведено на 14.10.2015 год., разгледа искане с вх.П-6917/25.08.2015 год. от г-н Веселин Божков– Председател на Комисията за регулиране на съобщенията (КРС), с което информира за постъпило искане от „С.“ ООД за становище на КРС по отношение приложението на разпоредбите на Глава петнадесета от Закона за електронните съобщения (ЗЕС). На свое заседание, проведено на 20.08.2015 год., КРС е разгледала изложеното в писмото и е взела решение да бъде изискано становището на КЗЛД като надзорен орган по съхраняването и унищожаването на данните по чл.251б, ал.1 от ЗЕС, тъй като съгласно чл.251ж, ал.1, изр. последно, КЗЛД извършва проверки за законосъобразност на съхраняването и унищожаването на данните от предприятията по реда на чл.261а от ЗЕС. С оглед на изложеното, КРС приема, че е необходимо получаване на становището на КЗЛД по поставените въпроси.
Към писмото на КРС е приложено запитване от В.Б.– управител на „С.“ ООД. В запитването се посочва,че след проведена среща между експерти на КРС и екип на „С.“ ООД във връзка с измененията на ЗЕС, от търговското дружество молят КРС за становище по следните въпроси:
1. Потвърждение, че данни, които са съществена част от предоставянето на дадена услуга и попадат в изключението на чл.246, ал.2, т.1 от ЗЕС не могат да бъдат тълкувани като трафични данни, които трябва да бъдат унищожени според чл.251ж, ал.1 от ЗЕС, след изтичането на сроковете по чл.251б, ал.1 и ал.4 от ЗЕС.
2. Да бъде изяснено как следва да се процедира с данни, които попадат едновременно в чл.251ж, ал.1 от ЗЕС и чл.42, ал.1 от Закона за счетоводството (ЗСч). Според ЗЕС, те трябва да бъдат унищожени след 6 месеца, а според ЗСч, те трябва да бъдат пазени в многократно надвишаващи 6 месеца срокове.
3. Потвърждение, че се допуска трафичните данни, които трябва да бъдат унищожени според чл.251ж, ал.1 от ЗЕС след изтичането на сроковете по чл.251б, ал.1 и ал.4 от ЗЕС, да бъдат съхранявани и след тези срокове в случаите, при които предстои съдебно дело за вземане на задълженията и тези данни ще бъдат изискани като съдебно доказателство до приключване на делото или изтичане на давността на вземането.
Правен анализ:
В националното законодателство Законът за защита на личните данни (ЗЗЛД) е основният нормативен акт с общо приложение, който регулира обществените отношения, свързани със защитата на правата на физическите лица при обработване на личните им данни. Този закон очертава законосъобразните рамки в границите, на които обработването на лични данни е допустимо. В ЗЗЛД също така се разписват и правомощията на Комисията за защита на личните данни да осъществява контрол по спазване изискванията на законодателството в сферата на защита на личните данни. В същност в материята, касаеща защитата на личните данни, ЗЗЛД се явява общ, а специфичните въпроси относно обработването на лични данни в различните сфери на обществения живот се уреждат в други закони, които се явяват специални по отношение защитата на личните данни. Поставените в искането за становище въпроси касаят обработване на трафични данни (по смисъла на ЗЕС) относно абонатите на предприятията, осъществяващи електронни съобщителни услуги. В конкретния случай ЗЕС е специален закон по въпросите, свързани с обработването на трафични данни на абонатите на предприятията, осъществяващи електронни съобщителни услуги, който урежда отношенията в случаите, в които трафичните данни се припокриват и с лични данни по смисъла на ЗЗЛД.
Относно първия поставен въпрос: Съгласно чл.246, ал.1 от ЗЕС, с цел опазване конфиденциалността на съобщенията и свързаните с тях трафични данни се забраняват слушането, записването, съхраняването или други видове прихващане или проследяване на съобщения от лица, различни от изпращача и получателя на съобщението, без изричното съгласие на изпращача и получателя, с изключение на случаите, когато това е предвидено в закон. Посочената забрана не се прилага по отношение на предприятията, предоставящи електронни съобщителни мрежи и/или услуги, когато:
1. съхраняването се налага по технически причини или е съществена част от предоставянето на услугата;
2. се извършва проверка на техническите параметри на услугата от оправомощени лица по този закон(чл. 246, ал.2 от ЗЕС).
Тези задължения на предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги са разписани в глава XV, раздел II от ЗЕС– Конфиденциалност на съобщенията. В посочената глава от ЗЕС са уредени въпросите относно сигурносттаи цялосттана електроннитесъобщителни мрежии услуги, конфиденциалността на съобщениятаи защитата на данните на потребителите. Тук са очертани и специалните правомощията на КЗЛДкато наблюдаващ органотносно сигурността на трафичните данни, съхранявани съгласно чл.251б от ЗЕС за нуждите на националната сигурност и за предотвратяване, разкриване и разследване на тежки престъпления. В чл.250б, ал.1, т.1-6 от ЗЕС конкретно са изброени данните, спрямо които КЗЛД има специална компетентност да извършва проверки за законосъобразност на съхраняването и унищожаването. Изрично посочените в закона нормативни текстове, касаещи специалната компетентност на КЗЛД, не могат да се тълкуват разширително. Следователно въпросът дали данните по чл.246, ал.1 от ЗЕС представляват съществена част от предоставянето на дадена услуга от предприятията е извън компетентността на КЗЛД.
Относно втория поставен въпрос: Съгласно чл.2, ал.2, т.1 от ЗЗЛД, администраторите трябва да обработват лични данни за конкретни, точно определени и законни цели и да не ги обработват допълнително по начин, несъвместим с тези цели. Всеки администратор сам определя целта, която налага обработването на определен вид и в определен обем лични данни. Разбира се, целта на обработването следва да произтича от съответни нормативни разпоредби, които уреждат различни сфери на обществения живот. Именно поради тази причина, администраторите на лични данни обработват личните данни в отделни регистри, за които заявяват пред КЗЛД съответното законово основание, както и задължително посочват срок на съхранение. Срокът на съхранение е или нормативно определен и съответният администратор задължително следва да се съобрази с него, или се определя от самия администратор в зависимост от целите, които налагат обработване на лични данни на физически лица. Следователно данните по чл.251б, ал.1, т.1-6 от ЗЕС, които попадат едновременно в чл.251ж, ал.1 от ЗЕС и чл.42, ал.1 от ЗСч, се разглеждат като данни, които администраторите на лични данни (предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги) обработват за различни нормативно определени цели– в единия случай за целите на осъществяване на електронни съобщения, а в другия случай– за целите на счетоводното записване на стопанските операции. При положение, че целта на обработване на данните е нормативно определена, администраторите са длъжни да се съобразят и със съответните законово разписани срокове, в които данните следва да бъдат съхранявани.
Относно третия поставен въпрос: Както по-горе беше посочено, администраторите обработват лични данни за различни цели и на различно нормативно или друго основание. Конкретно данните по чл.251б, ал.1, т.1-6 от ЗЕС (създадени или обработени в процеса на дейност на предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги), които трябва да бъдат унищожени след изтичане на определения в ЗЕС шест месечен срок,е недопустимо да бъдат съхранявани за други цели, различни от изрично посочените в чл.251б ал.2от ЗЕС – за нуждите на националната сигурност и за предотвратяване, разкриване и разследване на тежки престъпления. В случай, че данните по чл.251б, ал.1, т.1-6 от ЗЕС продължават да бъдат съхранявани от предприятията, това обстоятелство ще представлява нарушение на закона и на принципите за законосъобразност и пропорционалност при ограничаване на личната неприкосновеност.
С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД, Комисията за защита на лични данни изразява следното
СТАНОВИЩЕ:
1. В чл.250б, ал.1, т.1-6 от ЗЕС конкретно са изброени данните, спрямо които КЗЛД има специална компетентност да извършва проверки за законосъобразност на съхраняването и унищожаването. Изрично посочените в закона нормативни текстове, касаещи специалната компетентност на КЗЛД, не могат да се тълкуват разширително. Следователно въпросът дали данните по чл.246, ал.1 от ЗЕС представляват съществена част от предоставянето на дадена услуга от предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги е извън компетентността на КЗЛД.
2. Данните по чл.251б, ал.1, т.1-6 от ЗЕС, които попадат едновременно в чл.251ж, ал.1 от ЗЕС и чл.42, ал.1 от ЗСч, се разглеждат като данни, които администраторите на лични данни обработват за различни нормативно определени цели– в единия случай за целите на осъществяване на електронни съобщения, а в другия случай– за целите на счетоводното записване на стопанските операции. При положение, че целта на обработване на данните е нормативно определена, администраторите са длъжни да се съобразят и със съответните законово разписани срокове, в които данните следва да бъдат съхранявани.
3. Данните по чл.251б, ал.1, т.1-6 от ЗЕС, които трябва да бъдат унищожени след изтичане на определения в ЗЕС шест месечен срок,е недопустимо да бъдат съхранявани за други цели и в други срокове, различни от изрично посочените в чл.251б ал.2от ЗЕС – за нуждите на националната сигурност и за предотвратяване, разкриване и разследване на тежки престъпления.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венцислав Караджов /п/ |
Цанко Цолов /п/ |
